Fortify简介
Fortify SCA 全称Fortify Static Code Analyzer (SCA) ,翻译过来就是[强化静态代码分析器,也叫Fortify静态代码分析器-FSCA]
Fortify Static Code Analyzer提供静态代码漏洞缺陷分析器(SAST)功能,是一个静态的、白盒的软件源代码安全测试工具.
Fortify静态代码分析器(SCA)指出了安全的根本原因-源代码中的漏洞,优先处理最严重的问题,并提供了详细的指导,指导如何修复它们,以便开发人员能够修复其代码中存在的漏洞.
Fortify SCA包括8个漏洞分析器:缓冲区、配置、内容、控制流,数据流,高阶,语义和结构。每个分析器接受不同的类型对规则进行专门定制,为相应类型的分析提供必要的信息执行规则。规则是识别源代码中可能导致安全性的元素的定义漏洞或其他不安全的因素。通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告.扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复建议.
工作原理
Fortify SCA首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree),将其源代码之间的调用关系,执行环境,上下文等分析清楚.
通过分析不同类型问题的静态分析引擎分析NST文件,同时匹配所有规则库中的漏洞特征,将漏洞抓取出来,然后形成包含详细漏洞信息的FPR结果文件,用AWB打开查看.
Fortify SCA打开方式
①解压
②找到如下目录下的auditworkbench.cmd文件打开即可
Fortify下载地址
Windows:https://pan.quark.cn/s/3108eda4464d
提取码:ZRGw
Linux: https://bayfiles.com/8eZ5N5f2za/fortify_sca_22_2_2_lin_pwn3rzs_cyberarsenal_7z
MacOS: https://bayfiles.com/i9b3O3ffz0/fortify_sca_22_2_2_osx_pwn3rzs_cyberarsenal_7z
解压密码:Pwn3rzs
原创文章,作者:jianxin,如若转载,请注明出处:http://usg0v.com/?p=270
